17.09.2024
3 хв
631
Дізнайтеся про нову кіберзагрозу ONNX Store, яка активно націлена на фінансові установи по всьому світу. У цій статті проведено детальний аналіз механізмів дії загрози та її потенційного впливу на фінансовий сектор. Розглядаються можливі наслідки для систем безпеки і фінансових даних, а також надаються рекомендації щодо захисту від таких атак.
У лютому 2024 року було виявлено фішингові кампанії, спрямовані на фінансові установи. Зловмисники використовували QR-коди у вкладених PDF-файлах для перенаправлення жертв на фішингові URL-адреси. Кампанії здійснювалися через платформу Phishing-as-a-Service (PhaaS) під назвою ONNX Store, з інтерфейсом, доступним через ботів у Telegram для організації атак.
ONNX Store використовує механізм обходу двофакторної автентифікації (2FA), що дозволяє перехоплювати запити 2FA і підвищує успішність атак на бізнес-електронну пошту (BEC). Фішингові сторінки нагадують інтерфейси входу Microsoft 365, обманюючи користувачів для введення даних.
ONNX Store, ймовірно, є ребрендом фішингового набору Caffeine, виявленого у 2022 році. Арабомовний загрозливий актор MRxC0DER, імовірно, розробляє цей набір. Він також, ймовірно, відповідає за підтримку клієнтів ONNX Store, згідно з повідомленнями у Telegram-акаунті магазину.
ONNX Store, ймовірно, є ребрендингом платформи Caffeine, базуючись на схожості операційних стратегій і серверних шаблонів. У 2023 році колишній канал Caffeine у Telegram оголосив про зміну моделі роботи та запуск нового каналу під назвою ONNX Store.
Ребрендинг платформи зосереджений на покращенні операційної безпеки (OPSEC) для зловмисників і сервісів. Якщо раніше Caffeine використовував спільний веб-сервер для керування фішинговими кампаніями, то ONNX Store дозволяє зловмисникам контролювати операції через ботів у Telegram. Крім того, передбачено окремий канал підтримки для допомоги клієнтам.
@ONNXIT: користувач Telegram (можливо, модерований групою осіб), який керує потребами підтримки клієнтів.
@ONNX2FA_bot: бот Telegram для клієнтів, який отримує коди 2FA від успішних фішингових операцій.
@ONNXNORMAL_bot: бот Telegram для клієнтів, який отримує облікові дані для входу в Microsoft Office 365.
@ONNXWEBMAIL_bot: бот Telegram для клієнтів, який контролює сервер веб-пошти для надсилання фішингових електронних листів.
@ONNXKITS_BOT: Telegram-бот для клієнтів, щоб здійснювати платежі за послуги ONNX Store і відстежувати свої замовлення. Послуги включають:
Створення фішингового шаблону Microsoft Office 365.
Служба веб-пошти для надсилання фішингових листів і використання приманок соціальної інженерії.
Сервіси куленепробивного хостингу та RDP для кіберзлочинців для безпечного керування своїми операціями.
На малюнку 4 показано схожість між помилками у фішингових наборах ONNX і Caffeine. Обидві платформи використовують аналогічні механізми серверної частини для керування доступом через API. Коли термін дії ключа API закінчується або стає недійсним, відображається повідомлення про необхідність оновлення. Оскільки ці послуги працюють за передплатною моделлю, прострочений ключ API означає, що клієнт повинен придбати нову передплату для продовження фішингових операцій.
Зловмисники зловживають функціями CAPTCHA та IP-проксі від Cloudflare, щоб захистити свої шкідливі сайти. CAPTCHA допомагає уникнути виявлення фішинговими сканерами, а IP-проксі приховує оригінального хостинг-провайдера, що ускладнює процес видалення фішингових доменів, пов’язаних з ONNX Store.
ONNX Store пропонує різноманітні інструменти для фішингу, призначені для боротьби з кіберзлочинцями:
Звичайна послуга веб-пошти ($150/місяць): пропонує налаштовані фішингові сторінки та сервер веб-пошти.
Office 2FA Cookie Stealer ($400/місяць): фішингова цільова сторінка, яка захоплює маркери 2FA та файли cookie від жертв, показуючи статистику, блокування країни та перехоплення електронної пошти.
Звичайний пакет Office ($200/місяць): дає змогу збирати облікові дані електронної пошти без обходу 2FA.
Служба перенаправлення Office (200 доларів США на місяць): рекламується ONNX Store як створення «повністю невизначуваних (FUD) посилань». Ця служба використовує надійні домени, такі як bing.com, щоб перенаправляти жертв на контрольовані зловмисниками фішингові цільові сторінки.
На малюнку 6 детально показано різні служби та їхні можливості:
Зловмисники використовують ONNX Store для розповсюдження фішингових PDF-документів через електронну пошту, видаючи їх за матеріали від Adobe або Microsoft 365. Документи маскуються під кадрові оновлення чи довідники працівників і містять QR-коди, які після сканування ведуть на шкідливі фішингові сторінки. Використання QR-кодів дозволяє уникнути виявлення на кінцевих точках, оскільки мобільні пристрої часто мають обмежені можливості моніторингу загроз.
Більшість таких атак спрямовані на банки та фінансові установи в регіонах EMEA та AMER.
Коли жертви сканують QR-код, вони потрапляють на фішингову сторінку, створену для викрадення облікових даних та кодів 2FA через техніку Adversary-in-The-Middle (AiTM). Фішинговий сайт, замаскований під сторінку входу Microsoft 365, збирає введені дані в реальному часі за допомогою WebSockets, що дозволяє швидко передавати викрадену інформацію та робить операцію менш помітною.
Інша платформа Phishing-as-a-Service, Tycoon, також використовує техніку AiTM разом із Cloudflare CAPTCHA, що свідчить про навчання зловмисників і адаптацію їхніх тактик, наслідуючи успішні кіберзлочинні операції.
Набір для фішингу ONNX Store використовує зашифрований JavaScript-код, який розшифровується під час завантаження сторінки та включає функцію налагодження для захисту від сканерів. Це ускладнює аналіз та виявлення. Після розшифровки збираються метадані жертв, такі як IP-адреса, ім’я браузера та місцезнаходження, через сторонні домени, як-от “httbin[.]org” і “ipapi[.]co”. Ці дані використовуються для відстеження операцій і блокування певних IP-адрес.
ONNX Store використовує простий метод шифрування, щоб приховати шкідливі сценарії. Підхід до дешифрування такий:
Рядок Encoded декодується з Base64.
Кожен символ декодованого рядка обробляється XOR із символом із жорстко закодованого ключа, циклічно переміщаючись по ключу для дешифрування.
Результатом є розшифрований рядок (код JavaScript), який потім виконується браузером.
Цей метод може приховати шкідливі сценарії на веб-сторінці, ускладнюючи випадковий огляд. Його можна легко розшифрувати, якщо відомі ключ і зашифрований рядок, як показано на малюнку 10.
У розшифрованому JavaScript-коді ONNX Store виявлено функціонал для крадіжки токенів 2FA, введених користувачами. Розділ коду, відповідальний за захоплення OTP, надсилає введений одноразовий пароль на сервер через функцію sendAndReceive(). Якщо пароль правильний, користувача перенаправляють на іншу сторінку, а в разі помилки з’являється повідомлення з проханням повторити спробу.
Фішингова сторінка миттєво передає облікові дані та 2FA-токен зловмиснику, який використовує їх у реальному часі для входу в легітимні сервіси, обходячи захист 2FA. Цей метод дозволяє отримати несанкціонований доступ до облікових записів до закінчення терміну дії токена.
Схожість між реєстрантом домену та емітентом SSL у інфраструктурах ONNX Store свідчить про використання GTS CA 1P5 від Google Trust Services LLC як емітента SSL. Більшість доменів було зареєстровано через NameSilo та EVILEMPIRE-AS.
Послуги куленепробивного хостингу, подібні до тих, які пропонує ONNX Store, надають кіберзлочинцям безпечне місце для зловмисних операцій. Рекламовані гаслами на кшталт «Усе дозволено» та «Ігноруйте всі звіти», такі хостинги підтримують незаконні дії без загрози вимкнення.
В оголошенні, виявленому на Telegram, згадується послуга куленепробивного хостингу, доступна через сеанси RDP. Вона не лише підходить для фішингу, але й для інших шкідливих кампаній, пропонуючи високу продуктивність із покращеними параметрами ЦП, оперативної пам’яті, SSD і необмежену пропускну здатність, керовану через автоматизовані боти.
Фінансово вмотивовані кіберзлочинці створюють сервіси на кшталт ONNX Store для допомоги іншим зловмисникам та отримання доходу. Ці платформи дозволяють легко запускати фішингові кампанії з функціями, такими як обхід 2FA та реалістичні сторінки входу, забезпечуючи при цьому анонімність виконавців. Викрадені облікові дані часто продаються на підпільних форумах і використовуються групами програм-вимагачів для подальшого проникнення в організації.
На малюнку 14 представлені контрзаходи для запобігання фішинговим загрозам ONNX Store. Це включає технічні методи, як впровадження DNSSEC для блокування шкідливих доменів, та організаційні практики, такі як навчання співробітників щодо небезпек QR-кодів у PDF-документах.
HUNT_CRIME_ONNX_PHISHING_URL: Це правило розроблено для полювання на загрози проти можливих фішингових доменів, які використовують API магазину ONNX. Він шукає певні шаблони, пов’язані з ONNX Store, як-от повідомлення про помилки API за замовчуванням і посилання на підтримку Telegram, які з’являються, коли щомісячний платіж учасника загрози за послугу не було поновлено.
MAL_CRIME_ONNX_Store_Phishing_PDF_QR: Це правило YARA розроблено для виявлення потенційно зловмисних PDF-файлів, які містять QR-коди, шляхом вивчення їхніх структурних шаблонів. Він зосереджений на виявленні використання конвертера HTML у PDF із відкритим кодом “dompdf” у розділі метаданих PDF-файлу.
Фішингові URL-адреси:
authmicronlineonfication[.]com
verify-office-outlook[.]com
stream-verify-login[.]com
zaq[.]gletber[.]com
v744[.]r9gh2[.]com
bsifinancial019[.]ssllst[.]хмара
473[.]kernam[.]com
docusign[.]multiparteurope[.]com
56789iugtfrd5t69i9ei9die9di9eidy7u889[.]rhiltons[.]com
agchoice[.]us-hindus[.]com
432b1b688e21e43d2ccc68e040b3ecac4734b7d1d4356049f9e1297814627cb3
47b12127c3d1d2af24f6d230e8e86a7b0c661b4e70ba3b77a9beca4998a491ea
51fdaa65511e7c3a8d4d08af59d310a2ad8a18093ca8d3c817147d79a89f44a1
f99b01620ef174bb48e22e54327ca9cffa4520868f49a41c524b81ab6d935070
52e04c615b08af10b4982506c1cee74cb062116d31f0300ed027f6efd3119b1a
3d58733b646431a60d39394be99ff083d6db3583796b503e8422baebed8d097e
702008cae9a145741e817e6c6566cd1d79c737d51b718f13a2d16d72a00cd5a7
908af49857b6f5d1e0384a5e6fc8ee53ca1df077601843ebdd7fc8a4db8bcb12
d3b03f79cf1d088d2ed41e25c961e9945533aeabb93eac2d33ebc4b589ba6172
4751234ac4e1b0a5d4685b870de1ea1a7754258977f5d1d9534631c09c748732
Сторінка помилки ONNX Store API (Коли щомісячний платіж за послугу не поновлено, ця помилка відображалася як статичні дані):
0f5be6f53fe198ca32d82a75339fe832b70d676563ce8b7ca446d1902b92685
Onnx[.]su
5[.]181[.]156[.]247
T1566.001 – Додаток для підводного фішингу
T1204 – Виконання користувачем
T1539 – викрадення файлу cookie веб-сеансу
T1567 – Викрадання через веб-службу
T1132.001 – Кодування даних: стандартне кодування
T1027 – Затуманені файли або інформація
T1090.004 – Проксі: фронтінг домену
T1114 – Збір електронних листів
T1557 – Противник посередині
